Qbot: A análise rápida de um cavalo de Troia que rouba dados bancários
Qbot, também conhecido como QakBot, é um cavalo de Tróia que vem com recursos de furto e roubo de informações. Ativo desde 2008, este bot foi recentemente usado em uma campanha de ataque Emotet .
Mesmo depois de uma década, seu objetivo principal permaneceu o mesmo; roubar credenciais bancárias e outras informações financeiras.
Destaques recentes
Em agosto de 2020, o Qbot foi observado experimentando vários aprimoramentos.
- O cavalo de Troia Qbot foi atualizado em junho de 2020 com uma infraestrutura de comando e controle renovada e novas funções e recursos furtivos para evitar detecção e análise.
- Em maio de 2020, ProLock e MegaCortex ransomware estavam usando Qakbot para obter acesso a redes hackeadas. Então, possivelmente, o Qbot pode estar disponível como parte de seu esquema de malware como serviço, ou ambos os ransomware podem ser operados pela gangue por trás do Qakbot.
- No mesmo mês, o Qakbot também foi encontrado adicionando tarefas agendadas em sistemas infectados.
Principais alvos
A recente campanha de ataque do QBot foi de março a junho de 2020 e recomeçou novamente em agosto, espalhando-se globalmente e infectando novos alvos.
- Em agosto de 2020, o Qakbot foi descartado por meio do malware Emotet em e-mails de spam relacionados ao COVID-19 voltados para empresas dos EUA. Anteriormente, as campanhas Emotet começaram a abandonar o “QakBot” substituindo o TrickBot em julho de 2020.
- As indústrias mais visadas foram nos setores governamental, militar e manufatureiro.
Modus operandi
Até julho, o Qbot estava sendo distribuído por meio de várias campanhas de malspam, mas recentemente o Qbot adicionou um truque desagradável para infectar os usuários.
- Ele ativa um módulo coletor de email que extrai todos os threads de email do cliente Outlook e os carrega para um servidor remoto codificado. Esses e-mails são (devem ser) utilizados para futuras campanhas de malspam.
- Em abril de 2020, observou-se que o cavalo de Troia Qbot foi abandonado por meio de campanhas de phishing sensíveis ao contexto .
- Em fevereiro, o malware tentou usar contas de rede de força bruta do grupo Usuários de Domínio do Active Directory em organizações-alvo.
Principais conclusões
Os clientes de serviços bancários devem ficar atentos a e-mails solicitando informações confidenciais e permitir a autenticação de dois fatores para suas contas bancárias. As organizações devem usar software antivírus atualizado, aplicar regularmente patches críticos em seus aplicativos e sistema operacional e inspecionar o tráfego de rede em busca de atividades maliciosas.
Fonte: https://cyware.com/news/qbot-trojan-a-quick-analysis-of-a-decade-old-banking-trojan-bd6d0efd